読者です 読者をやめる 読者になる 読者になる

pslaboの日記

はてなダイヤリーからはてなブログに引っ越してきました

この日記は現在実行中の減量記録を含む個人的なメモとして始めましたが、最近はコンピュータやガジェット、ハック、セキュリティネタのほうがメインになっております。

iPad3のSIMロックに関する考察とSIM下駄による解除の試みはSoftbank版iPad3にiPhone用のSIM下駄を履かせてみるにいろいろ書いてます。

ポストした内容のカテゴリー分けがちゃんと出来てないので、過去記事を探したい方はお手数ですが検索で探してみてください。


CVE-2016-3092: Apache Commons Fileupload の脆弱性

ここら辺を見ると、
Fwd: CVE-2016-3092: Apache Commons Fileupload information disclosure vulnerability

Versions Affected が以下のように出ています。

Apache Commons Fileupload 1.3 to 1.3.1
Apache Commons Fileupload 1.2 to 1.2.2
The unsupported Apache Commons Fileupload 1.0.x, and 1.1.x may also be affected.
Apache Tomcat 9.x to 9.0.0M6
Apache Tomcat 8.x to 8.0.35
Apache Tomcat 7.x to 7.0.69
Apache Tomcat 6.x
Unsupported versions of Apache Tomcat, like 5.x may also be affected.
Apache Struts 2.5.x, and previous versions, which are distributing
Commons FileUpload 1.3.1, or earlier versions.

結構、幅広いですね。

Description を見ると、Exploit ではなく DoS 攻撃を食らう系ですかねえ。


対策は以下のいずれか、と。

  • Fileupload を 1.3.2 にアップグレードする。
  • Tomcat を 9.0.0M8, 8.0.36, 7.0.70 にアップデートする。
  • Struts の場合も Fileupload を 1.3.2 にアップグレードする。


暫定回避するなら、LimitRequestFieldSize や maxHttpHeaderSize でHTTPリクエストの受付を絞る、という方法があるそうです。